データセキュリティポスチャの分析
機密データ保存場所の明確な定義
ユーザーや開発者に「ここに機密データを保存しないでください」と言うよりも、各種の機密データをどこに保存すべきかを明確に定義する方が効果的です。これにより混乱を避けられます。安全な場所を指定しないと、ユーザーや開発者がより危険な場所にデータを保存してしまう可能性があります。
機密データの公開有無と、組織外の不明なアカウントとの共有確認
Amazon Macie を有効にすると、インターネットに公開されているバケットの数、組織外のアカウントと共有されているバケットの数、デフォルトで暗号化されているバケットの数を確認でき、セキュリティポリシーに合わせて修正が必要な S3 バケットを特定できます。
Amazon Macie のクイックウィンは、サービスを有効化して定期的にダッシュボードを確認するだけです。これにより、全ての S3 バケットが適切に設定され、セキュリティイベントにつながる可能性のある誤った設定がないことを確認できます。S3 バケットあたり 0.10 USD/月 のみで、数クリックで実装でき、適切に設定されていないデータセキュリティポリシーを特定するのに役立ちます。「機密データ自動検出 」を有効にすると、各 S3 バケットに保存されているデータの種類に関する追加の洞察が得られ、無料トライアル期間でコストを見積もることができます。
Amazon Macie デモ
デモを見る
マインドマップ
ワークショップ
主なリスクと軽減
- [情報窃取] - ユーザーが Amazon S3 バケットに誤った設定を行い、パブリックアクセスを許可したり、組織外の信頼されていないアカウントからのアクセスを許可するリスクがあります。Macie はこれらのリスクを特定するのに役立ちます。
- [情報窃取] - 組織内の脅威アクターが、機密データを含む S3 バケットを個人の AWS アカウントと共有してデータを流出させるリスクがあります。Macie はこれらのリスクを特定するのに役立ちます。
評価のガイダンス
- データセキュリティポリシーはありますか?
- それを強制するためにどのような仕組みがありますか?
- Macie を使用していますか?すべてのアカウントで有効になっていますか?
- Macie の「機密データ自動検出」が有効になっていますか?結果を分析しましたか?
AWS Marketplace のソリューション
AWS Marketplace には、Data Sunrise や Varonis などのデータ検出と分類のソリューションがあります。
料金
- Amazon Macie の料金
- Macie には、S3 バケットのセキュリティとアクセス制御 (データセキュリティポスチャ) の評価と、機密データ自動検出のための 30 日間の無料トライアル期間があり、無料利用枠として毎月 1 GB までのデータ検出が含まれています
- サービスを有効化するだけ (クイックウィン) であれば、1 GB 以上の検出ジョブを設定しない限り、無料トライアル中は料金が発生しません
- Macie には、使用状況を確認し、将来の使用量を見積もるためのページがあります (無料トライアルを活用して翌月のコストを見積もることができます)